JVNDB-2015-003481
|
Adobe Flash Player (ByteArray) に解放済みメモリ使用 (use-after-free) の脆弱性
|
Adobe Flash Player の ActionScript 3 ByteArray クラスには、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。
ByteArray - AS3
http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/utils/ByteArray.html
|
CVSS v2 による深刻度 基本値: 10.0 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
アドビシステムズ
- Adobe Flash Player 9.0 から 18.0.0.194 まで
|
|
当該製品を使用するユーザが、細工された Flash コンテンツを含むウェブサイトにアクセスしたり、細工された Microsoft Office ドキュメントを開いたりすることで、ユーザのウェブブラウザ上で任意のコードを実行される可能性があります。
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
[信頼できない Flash コンテンツを表示しない]
ブラウザ上で Flash を無効にしてください。または Click-to-Play 機能を有効にしてください。
[Microsoft Enhanced Mitigation Experience Toolkit (EMET) を適用する]
EMET の Attack Surface Reduction (ASR) 機能を設定することで、Microsoft Office や Internet Explorer における Flash ActiveX コントロールの読込みを制限することが可能です。
|
アドビシステムズ
富士通
|
- バッファエラー(CWE-119) [NVD評価]
|
- CVE-2015-5119
|
- JVN : JVNVU#90834367
- JVN : JVNTA#97243368
- National Vulnerability Database (NVD) : CVE-2015-5119
- IPA 重要なセキュリティ情報 : Adobe Flash Player の脆弱性対策について(APSB15-16)(CVE-2015-5119等)
- JPCERT 注意喚起 : JPCERT-AT-2015-0019
- 警察庁 @police : アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて(2015年07月09日)
- US-CERT Vulnerability Note : VU#561288
- US-CERT Technical Cyber Security Alert : TA15-195A
- 関連文書 : How to Enable Click-to-Play Plugins in Every Web Browser
|
- [2015年07月10日]
掲載
[2015年07月13日]
タイトル:内容を更新
ベンダ情報:アドビシステムズ (Flash Player をアンインストールする方法) を追加
ベンダ情報:富士通 (アドビ システムズ社 Adobe Flash Player の脆弱性に関するお知らせ) を追加
参考情報:IPA 重要なセキュリティ情報 (Adobe Flash Player の脆弱性対策について(APSB15-16)(CVE-2015-5119等)) を追加
参考情報:警察庁 @police (アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて(2015年07月09日)) を追加
参考情報:関連文書 (How to Enable Click-to-Play Plugins in Every Web Browser) を追加
[2015年07月27日]
参考情報:JVN (JVNTA#97243368) を追加
[2015年09月03日]
参考情報:US-CERT Technical Cyber Security Alert (TA15-195A) を追加
|